Utilizzo di bucket Amazon S3 crittografati lato server - FSxper Lustre
Accesso a bucket Amazon S3 crittografati lato server in un Account AWS ambiente diverso o condiviso VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di bucket Amazon S3 crittografati lato server

FSxfor Lustre supporta i bucket Amazon S3 che utilizzano la crittografia lato server con chiavi gestite da S3 (-S3) e archiviate in SSE (-). AWS KMS keys AWS Key Management Service SSE KMS

Se desideri che Amazon FSx crittografi i dati durante la scrittura nel tuo bucket S3, devi impostare la crittografia predefinita sul bucket S3 su -S3 o -. SSE SSE KMS Per ulteriori informazioni, consulta Configurazione della crittografia predefinita nella Guida per l'utente di Amazon S3. Quando scrivi file nel tuo bucket S3, Amazon FSx segue la politica di crittografia predefinita del tuo bucket S3.

Per impostazione predefinita, Amazon FSx supporta i bucket S3 crittografati utilizzando SSE -S3. Se desideri collegare il tuo FSx file system Amazon a un bucket S3 crittografato utilizzando SSE la KMS crittografia, devi aggiungere una dichiarazione alla tua policy sulle chiavi gestite dai clienti che consenta ad Amazon di crittografare e FSx decrittografare gli oggetti nel tuo bucket S3 utilizzando la tua chiave. KMS

La seguente dichiarazione consente a uno specifico FSx file system Amazon di crittografare e decrittografare oggetti per uno specifico bucket S3, bucket_name.

{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}
Nota

Se stai usando un KMS con CMK a per crittografare il tuo bucket S3 con le chiavi del bucket S3 abilitate, impostalo sul bucket e non sull'oggetto, come EncryptionContext in questo esempio: ARN ARN

"StringLike": {
    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name"
}

La seguente informativa sulla politica consente a tutti i FSx file system Amazon del tuo account di collegarsi a un bucket S3 specifico.

{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "aws:userid": "*:FSx",
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}

Accesso a bucket Amazon S3 crittografati lato server in un Account AWS ambiente diverso o condiviso VPC

Dopo aver creato un file system FSx for Lustre collegato a un bucket Amazon S3 crittografato, devi quindi concedere al ruolo collegato al servizio SLR () AWSServiceRoleForFSxS3Access_fs-01234567890 l'accesso alla chiave utilizzata per crittografare KMS il bucket S3 prima di leggere o scrivere dati dal bucket S3 collegato. Puoi usare un ruolo che dispone già delle autorizzazioni per la chiave. IAM KMS

Nota

Questo IAM ruolo deve trovarsi nell'account in cui è stato creato il file system FSx for Lustre (che è lo stesso account di S3SLR), non nell'account a cui appartiene il bucket KMS key/S3.

Utilizzate il IAM ruolo per chiamare quanto segue per creare una concessione AWS KMS API per S3 in SLR modo che ottenga l'autorizzazione per gli oggetti S3. SLR Per trovare quelli ARN associati al tuoSLR, cerca i IAM ruoli utilizzando l'ID del file system come stringa di ricerca.

$ aws kms create-grant --region fs_account_region \
      --key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \
      --grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"

Per ulteriori informazioni sui ruoli collegati al servizio, consulta Utilizzo di ruoli collegati ai servizi per Amazon FSx.